Problem mit ACLs in TP Link Omada

  • Guten Abend,

    ich bin vor kurzem bei mir zuhause dabei mein Netzwerk um zu bauen. Aktuell habe ich noch meine FritzBox am rennen, diese möchte ich aber zeitnah ersetzen und bin da auf das System von TP Link / Omada gestoßen. Nach bisschen googlen und auf Youtube gucken habe ich mich für das Omada System entschieden.

    Bevor ich es in den Aktiven Einsatz bringen, habe ich mir erstmal eine "Testumgebung" aufgebaut. Soweit so gut. Also alles läuft out of the Box, aber wenn ich Anfange Switch - ACL ein zu richtgen gibt es Probleme. Ich habe mich für erste Erfahrungen an einem Video orientiert, was ähnlich meinen geplanten Senario entspricht. Hier erstmal zu dem Link zu dem Video, was ich meine: Link zum Video Tutorial

    Kurz zusammengefasst, worum es in dem Video geht:

    • Es werden 3 VLANs mit dazugehörigen WLANs erstellt (HeimNetzwerk, IoT und Gast) nicht mit genau den Namen, aber Namen sind an sich ja nicht ausschlaggebend, solange an allen Ecken die gleichen genommen werden
    • Es wird eine Switch ACL erstellt, welches die Kommunikation vom IoT Netzwerk zum HeimNetzwerk unterbindet, die Kommunikation vom HeimNetzwerk ins IoT Netzwerk soll hingegen funktionieren.
    • Das Gast WLAN wird nachher auch mit den Paramenter von Gast WLAN verknüpft, dieses hat somit keinen Zugriff auf das IoT Netzwerk bzw. das HeimNetzwerk.
    • Zum testen ob alles klappt werden 2 Laptops und ein Smartphone genommen, welche sich gegenseitig versuchen an zu pingen. Manche mit Erfolg, manche ohne. Je nach der Einstellung.

    Von der Hardware im Video bin ich etwas abgewichen. Meine Hardware, die ich hier stehen habe besteht aus folgenden Geräten:

    • Ein ER605
    • Ein TL-SG2008P
    • Ein OC200
    • Ein Access Point AC1350 / EAP225

    Sobald ich meine 3 Netzwerke erstelle und die ACL aktiviere habe ich das Problem, das ich von den verschiedenen VLANs nicht mehr auf die anderen zugreifen kann. Was im großen und ganzen richtig ist. Außer dass ich die ACL so eingerichtet habe, dass die Kommunikation von VLAN 107 (IoTDev) nach VLAN 42 (HeimNetz) blockiert werden soll. Somit sollte eigentlich die Kommunikation in die andere Richtung funktionieren.

    Hier einmal ein Screenshot über die Konfiguration:

    Mit dem Problem schlage ich mich schon ein paar Tage rum, komme nur nicht auf einen grünen Zweig.

    Zum Testen ob das geht habe ich 2 Wemos D1 Minis genommen, diese jeweils in ein WLAN zu den entsprechenden VLANs eingebunden sind und einen "MiniWebserver" simulieren. Und zum Aufrufen nehme ich meinen PC, welcher per LAN an den Switch angeschlossen ist.

    Nachdem ich ein paar Tage rumgefummelt habe ohne Erfolg, stellt sich für mich die Frage ob das ggf. an dem anderen Switch liegt? TP Link bietet da eine schöne Funktion um die Geräte 1:1 zu vergleichen, doch aus meiner Position sind da recht wenige unterschiede, wobei ich mir nicht sicher bin, ob ggf. eine davon die Entscheidende Spezifikation ist. Hier noch der Link zu dem Vergleich der Switche: Link zum Switchvergleich

    Bei den Unterschieden meine ich nicht, die Anzahl der POE Ports bzw. die Anzahl der Ports an sich, sondern rein von den Funktionen und Möglichkeiten.

    Ich hoffe mir kann da ggf. jemand helfen bei meinem Problem? Ich bin auch schon am überlegen ob ich mir den anderen Switch noch kaufe. Zurück geben kann man alles, nur ob das von Erfolg gekrönt ist, weiß ich nicht. Vor allem wenn ich in Zukunft mir noch ein weiteren Switch holen möchte, der auch mehr Ports bietet, wäre gut zu wissen, welche Funktion benötigt wird um dann zu funktionieren.

    Wenn noch mehr Informationen von mir benötigt werden, einfach fragen. Ich versuche alles zu erzählen was ich weiß.

    Danke schon mal im voraus für eure Hilfe.

    Michael

  • Nun, der AP z.B. kann keine ACL, daher hilft dir die ACL Konfiguration nicht viel.
    Abgesehen davon - du hast eine Firewall von TP Link, vergiss ACLs und nutze FW Regeln, dann muss es funktionieren.
    Eine Regel fürs zulassen sollte ja normalerweise reichen - alles was nicht erlaubt ist, ist automatisch verboten bei einer Firewall.
    Wie das TP Link aber handhabt weiß ich nicht, gehe aber stark von aus das die sich ebenso daran halten.

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

  • Moin, danke für die Antwort.

    Der Grund, warum ich auf ACLs komme, bzw. warum ich vermute, dass da das Problem liegt ist. Wenn ich die ACLs aktiviere geht nichts mehr, wenn ich die ACLs ausschalte kann ich kreuz und Quer anpingen bzw. drauf zugreifen. Also vom HeimNetz zu IoT und vom IoT zum HeimNetz.

    Zum Thema FW Regeln selbst habe ich in den Einstellungen bislang eher weniger gefunden. Bei dem Omada System wird alles grundsätzlich Zentral verwaltet und nicht jedes Gerät seperat. Also falls das nicht bekannt war.

    Vor allem wie ich überhaupt auf das Thema ACLs und so komme, stammt aus dem Videotutorial. Also da war zumindest nichts zum Thema Firewall oder ähnliches drin. Aber ich kann diesbezüglich nochmal nachstöbern, nur auf den ersten Eindruck habe ich zu FW Regeln selbst nichts gefunden, außer paar Boxen, welche ich ein und ausschalten kann.

    Aber ich gucke gerne später nochmal genauer im Controller, kann auch gerne ein paar Screenshots machen, falls jemand das System so noch nicht kennt?

    Bzw. ich habe letztens ein "Emulator" für den Controller gefunden, falls jemand selber mal rein gucken möchte. Hier der Link:Link zum Emulator

    ACLs und Firewall Einstellungen, findet man primär unten links auf dem Zahnrad und dann unter den entsprechenden Reitern "Network Security"

    Michael

  • ist wie bei unifi, ohne FW Regeln ist zwischen den VLans alles offen!

    Evtl. hilft das Video

    Externer Inhalt m.youtube.com
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

    LG
    Xav

    Einmal editiert, zuletzt von Xav (24. Oktober 2022 um 09:17)

  • Xav: Genau um das Video geht es eigentlich. Also das habe ich als Grundlage genommen, um ein Einstieg in das Omada System. Und genau damit fing das ganze Dilema an, mit ACLs und so. Weil an sich machte der Typ im Video und wenn man seine anderen Videos mal rein schaute einen eigentlich guten Eindruck. Also das er weiß, was er sagt.

    Habe alles wie im Video 1:1 nachgemacht, außer dass ich einen anderen Switch genommen habe. Habe mir letzte Nacht den im Video verwendeten Switch nachgeordert um es mit dem zu testen. Notfalls hat man bekanntlich 30 Tage Rückgaberecht bei Onlinekäufen, falls etwas davon doch nicht so passt wie gewünscht.


    Michael

  • OK, ich hab bei der Nichte meiner Frau vor 1-2 Jahren ein TP Link Omada System aufgebaut, allerdings ohne ER 605 und ohne Vlans, kann das also leider nicht verifizieren.

    Du könntest es noch über FW Regeln ohne ACLs probieren, aber Achtung default ist wenn ich mich richtig erinnere Traffic zwischen den Vlans erlaubt!

  • Xav: Okay muss ich gucken wo ich FW Regeln einstellen kann, den diese habe ich bislang so noch nicht gefunden. Zum Thema FW war wie gesagt nur eine Liste an Punkten, wo ich was aktivieren konnte bzw. deaktivieren und mehr war da nicht zu holen.

    Aber ich gucke später nochmal nach.

    Michael

  • Hey Leute,

    ich dachte ich bringe euch mal auf den aktuellen Stand der Dinge.

    Ich habe heute den anderen Switch (TL-SG2210MP [Der aus dem Video, womit alles angefangen hat]) bekommen und naja irgendwie ist das ganze fast eher schlimmer geworden und nicht besser

    Ich habe erstmal alle Geräte mittels Resettaster zurück gesetzt um wirklich bei 0 zu beginnen mit dem neuen Switch. Habe dann erst den Einrichtungsassistenten vom Controller durchgeklickt, dann wie gewohnt die VLANs und WLANs erzeugt. Im Anschluß mein Wemos D1 Mini (Webserver) in Betrieb gesetzt, geguckt ob ich per PC drauf zugreifen kann und das funktionierte. Dann habe ich im Anschluß die "Problemzone" ACL eingerichtet und nichts ging mehr. Diese wieder deaktiviert und nochmal versucht den Webserver zu erreichen und nunja, nichts geht mehr.

    Habe dann aus lauter Verzeiflung mal in die Geräte geguckt und plötzlich stand beim Router (ER605) "ADOPTING", obwohl ich vorher schon alle Geräte "Adoptiert" habe und alle als Connected drin standen. Ich habe mir nichts groß gedacht, Resete ich den Router nochmal und adoptiere den noch mal. Das ging auch, aber kurz danach wieder Stress beim Router.

    Irgendwie habe ich das Gefühl, als ob der Router ein hat. Oder hat jemand sowas schon mal erlebt bzw. wie wären eure Vermutung bei so einem Verhalten?

    Wollte es morgen nochmal mit dem ersten Switch testen. Nur so langsam wird die Verzweiflung (mit Haare raufen und graue Haare bekommen) immer etwas größer.


    Michael

    PS: Ist das mit den Geräten von Unify ähnlich schlimm? Oder hat da auch noch weniger jemand groß Erfahrung. Bin zwischendruch am überlegen, alles wieder einzupacken und back to Amazon und was anderes zu kaufen.

  • Mit unifi ist das deutlich einfacher, übersichtlicher und stabiler.

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

  • ohne Probleme, ist ne Sache von 5 Minuten und dann läuft das.

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

  • @noob_at_pc:Ich werde mir morgen und am Wochenende noch bisschen mehr mit Omada auseinander setzen ggf. mal gucken nach einem Forum was offizil von TP Link betrieben wird bzw. Supportet wird. Ggf. nehme ich auch mal Kontakt zum Support auf. Aber parallel werde ich mir das Thema Unify und rund rum mal zu gemüte führen.

    Der Hauptgrund wieso ich mich für TP Link entschieden hatte, war in erster Linie der Preis. Unify ist doch schon etwas teurer.

  • völlig verständlich. Mir fehlt leider die TP Link "firewall", sonst hätte ich das mal nachgebaut und getestet.
    Wenn du eine Lösung findest, gerne hier zeigen!

    Btw. Eine ACL für Zugriff von Heimnetz auf IoT erlauben hast du doch erstellt, oder? War im Text oben nicht ganz eindeutig ersichtlich

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

  • Guten Morgen,

    von Werk aus sind alle VLANs komplett frei. In dem erklärvideo was ich als Grundlage nutze erstellt er nur die ACL für den Verbot in die Richtung IoT zu LAN (Hauptnetzwerk) diese könnte man gleich in beiderichtung aktivieren oder nur in die eine. Was ich auch gemacht hab.

    Aus Verzweiflung habe ich die Kommunikation explizit in die andere Richtung (LAN zu IoT) erlaubt, brachte aber kein Erfolg.

    Michael

  • Ach Mist, wäre auch zu einfach gewesen!

    Schon seltsam was TP Link da treibt. Btw. Kannst du es einfach, al mit Geräten die per LAN angebunden sind testen?
    PC an ein Port mit dem heimnetz und einen anderen an einen iot Port und dann schauen ob die sich gegenseitig pingen können.

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

  • Bislang hatte ich nur PC an einen Port mit passenden „Profil (VLAN)“ an dem Port und AP mit allen VLANs für alle SSIDs.

    Aber kann es später mal mit 2 Netzwerkgeräten an LANs testen. Hab aktuell nur ein PC, ein Laptop (nur mit WLAN hat kein RJ45 Port) und 2 Wemos D1 Mini in jeweils eins der beiden WLANs drin. Muss mir noch ein usb Adapter besorgen für den Laptop.

    Michael

  • keinen Drucker, TV oder so der LAN hat?

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

  • für Ubiquiti gibt es ein deutsches Fanforum, für TP Link omada hab ich das explizit nicht gefunden, es gibt aber ein englischsprachiges.

    Die FW Stände sind aber bei allen Geräten auf dem aktuellen Stand?

    Das mit dem immer mal wieder neuen adopting hatte ich bei der Nichte auch an einem AP, da war das Patchkabel oder war es das verlegte Kabel defekt, weiss ich nicht mehr sicher.

    Halt uns auf dem Laufenden.

    LG
    Xav

    Einmal editiert, zuletzt von Xav (28. Oktober 2022 um 09:29)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!